次の方法で共有

Microsoft Entra ID Protection の通知

Microsoft Entra ID Protection では、ユーザー リスクとリスク検出の管理に役立つ以下の 2 種類の自動通知メールを送信します。

  • リスクにさらされているユーザーの検出メール
  • 週間ダイジェスト電子メール

この記事では、両方の通知メールの概要を説明します。

グループに割り当てられたロールに含まれているユーザーへの電子メールの送信はサポートされていません。

重要

既定では、全体管理者、セキュリティ管理者、またはセキュリティ閲覧者ロールがアクティブに割り当てられているユーザーは、有効な "電子メール" または "連絡用メール" がそのユーザーに構成されている場合、この一覧に自動的に追加されます。 ユーザーがオンデマンドでこれらのロールのいずれかに昇格するために Privileged Identity Management (PIM) に登録されている 場合、ユーザーは電子メールの送信時に昇格された場合にのみ電子メールを受信します。

[前提条件]

  • MFA 登録ポリシーの変更など、Microsoft Entra ID Protection 機能へのフル アクセスには、Microsoft Entra ID P2 または Microsoft Entra Suite ライセンスが必要です。
  • セキュリティ管理者ロールは、アラートを構成するために必要な最小限の特権ロールです。

リスクにさらされているユーザーの検出メール

検出されたリスクのあるアカウントに対して、Microsoft Entra ID Protection ではリスクのあるユーザーが検出されたという件名のメール アラートを生成します。 メールには、リスクのフラグが設定されたユーザー レポートへのリンクが含まれます。 ベスト プラクティスとして、危険な状態のユーザーをすぐに調べる必要があります。

このアラートを構成すると、アラートを生成するユーザー リスク レベルを指定できます。 ユーザーのリスク レベルが、指定されたものに達するとメールが生成されます。 たとえば、ユーザー リスクが中になったら警告を出すようにポリシーを設定していて、ユーザーのリスク スコアが、リアルタイム サインイン リスクが原因で中リスクに移行した場合は、危険な状態のユーザーが検出されたというメールを受信します。 このユーザーに対して後続のリスク検出が行われ、それによってユーザー リスク レベルの計算が、指定されたリスク レベル (またはそれ以上) になった場合は、ユーザー リスク スコアが再計算されたときに、危険な状態のユーザーが検出されたという追加のメールを受け取ります。 たとえば、ユーザーが 1 月 1 日に中リスクに移行すると、中リスクのときに警告を出すように設定されている場合は、メール通知を受け取ります。 次に、同じユーザーに対して 1 月 5 日に新たなリスク検出が行われて、ユーザー リスク スコアが再計算され、それでもまだ中だった場合は、新たなメール通知を受け取ります。

追加の電子メール通知は、ユーザー リスク レベルの変更が最後に送信されたメールよりも新しい場合にのみ送信されます。 たとえば、1 月 1 日の午前 5 時にユーザーがサインインし、リアルタイム リスクがないとします (つまり、そのサインインが原因でメールが生成されることはありません)。 10 分後の午前 5 時 10 分に、同じユーザーが再びサインインし、リアルタイム リスクが高いため、ユーザー リスク レベルが高くなり、メールがトリガーされます。 その後、午前 5:15 に、午前 5 時に行われた元のサインインのオフライン リスク スコアが、オフライン リスク処理により高リスクに変わります。 リスクのフラグが設定されたユーザーの別の電子メールは送信されません。最初のサインインの時刻は、既に電子メール通知をトリガーした 2 番目のサインインの前であったためです。

メールの過負荷を防ぐために、メールを受信するのは、5 秒間に 1 通のみとなります。 指定されたリスク レベルへ移行したユーザーが同じ 5 秒間に複数いた場合、データが集約され、全員に 1 通の電子メールが送信されます。

Microsoft Entra ID Protection のユーザー エクスペリエンス」の記事で説明されているように、組織で自己修復を有効にしている場合は、調査を行う前に、ユーザーが自分のリスクを修復できる可能性があります。 既に修復されている危険なユーザーや危険なサインインを確認するには、危険なユーザーまたは危険なサインインのいずれかのレポートの [リスクの状態] フィルターに "修復済み" を追加します。

"リスクのあるユーザーが検出された警告" を構成する

管理者として、次の内容を設定できます。

  • このメールの生成をトリガーするユーザー リスク レベル - 既定では、リスク レベルは「高」リスクに設定されます。
  • このメールの受信者
    • 必要に応じて、[ここでカスタム メールを追加する] ことができます。定義されているユーザーがリンク レポートを表示するには適切なアクセス許可が必要です。

Microsoft Entra 管理センターID Protection>Dashboard>Users at risk detected alertsのセクションで、危険にさらされているユーザーのメール設定を構成します。

週間ダイジェスト電子メール

週間ダイジェスト電子メールには、新しいリスク検出の概要が含まれます。
次の情報が含まれます。

  • 新しい危険なユーザーが検出されました
  • 新たに検出された危険なサインイン (リアルタイムで)
  • ID 保護で関連するレポートへのリンク

週刊ダイジェスト メールのサンプルを示すスクリーンショット。

週刊ダイジェストの電子メールを構成する

管理者は、週刊ダイジェストの電子メールの送信を有効にしたり無効にしたりできるほか、メールの受信者として割り当てるユーザーを選択することができます。

Microsoft Entra 管理センターで週単位のダイジェスト メール>ID Protection>Dashboard>Weekly ダイジェストを構成します。

関連項目